DSGVO: Die Sicherheitskriterien für eine Zertifizierung

Prüfkriterien für eine Datenschutzzertifizierung: Bereich Sicherheit

Die Anforderungen an datenschutzrechtliche Zertifizierungsprogramme enthalten Prüfkriterien für alle relevanten Bereiche, die zur Einhaltung der DSGVO umgesetzt werden müssen. Dazu gehören auch die Maßnahmen der Datensicherheit, also der Sicherheit der Verarbeitung personenbezogener Daten, wie es die DSGVO nennt. Diese sollen nun exemplarisch näher betrachtet werden.

Wer ein Zertifikat nach DSGVO erlangen möchte, muss im Bereich Sicherheit zuerst einmal für die notwendigen Dokumentationen sorgen und es ermöglichen, dass die Wirksamkeit der ergriffenen Maßnahmen geprüft werden kann.

Entsprechend fordern die Aufsichtsbehörden:

Art. 32 DSGVO fordert die Umsetzung von angemessenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten. Zwecks Überprüfung dieser Maßnahmen ist es zum einen erforderlich, dass alle relevanten Maßnahmen und Prozesse dokumentiert sind und die Dokumentation zur Prüfung vorliegt.

Zum anderen muss sichergestellt sein, dass alle relevanten Maßnahmen und Prozesse für angemessene Prüfungen technisch oder physisch zugänglich sind, sodass deren Funktionsweise bewertet werden kann.

Bei der Definition der technisch-organisatorischen Maßnahmen ist die Ermittlung des Schutzniveaus maßgeblich. Letzteres muss ebenfalls dokumentiert sowie kontinuierlich überprüft werden.

Bestimmte Anforderungen, die sich aus Art. 32 DSGVO ergeben, können bereits vollständig oder in Teilen durch das Vorhandensein von geeigneten (IT-Sicherheits-) Zertifizierungen (wie zum Beispiel ISMS nach ISO 27001, BSI Grundschutz), die auch den datenschutzrechtlichen Zertifizierungsgegenstand umfassen, abgedeckt sein. Die Erfüllung der entsprechenden datenschutzrechtlichen Anforderungen durch eine oder mehrere (IT-Sicherheits-) Zertifizierung(en) muss aber auf Vollständigkeit und Korrektheit geprüft und dokumentiert werden.

Was für die Sicherheit der Verarbeitung alles vorliegen muss

Die Aufsichtsbehörden nennen auch konkret die Punkte, die ein Unternehmen erfüllt haben sollte, wenn eine Prüfung zum Zweck der Zertifizierung nach DSGVO ansteht. Es lohnt sich, hier einen Abgleich mit dem vorhandenen Datensicherheitskonzept und den Unterlagen zur IT-Sicherheit im Unternehmen vorzunehmen, selbst dann, wenn eine IT-Sicherheitszertifizierung im Unternehmen vorliegt, da ja die Vollständigkeit der datenschutzrechtlichen Anforderungen bei der IT-Sicherheitszertifizierung hinterfragt werden muss.

Vorhanden sein sollten insbesondere:

• Vollständige, detaillierte Beschreibungen aller verarbeiteten Daten beziehungsweise Datenkategorien
• Risikobasierte Ermittlung des angemessenen Schutzniveaus, dabei Berücksichtigung von Risiken, die sich insbesondere durch Vernichtung, Verlust, Veränderung, unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten ergeben können
• Maßnahmen zur Gewährleistung der Vertraulichkeit von personenbezogenen Daten (wie Pseudonymisierung und Verschlüsselung) sowie der weiteren Schutzziele nach Artikel 32 DSGVO, dabei Spezifikation und Schutzkonzepte hinsichtlich des Stands der Technik und der Konsistenz der einzelnen Maßnahmen, Vergleich des Schutzniveaus, welches durch die Schutzmaßnahmen sichergestellt werden sollte mit den datenschutzrechtlichen Schutzanforderungen
• eine Dokumentation des Prozesses zur Auswahl und Umsetzung geeigneter technischer und organisatorischer Maßnahmen, die Vertraulichkeit, Integrität und Verfügbarkeit der Verarbeitung gewährleisten
• Gewährleistung, dass alle relevanten Systeme und Prozesse einer regelmäßigen Überprüfung, Bewertung und Evaluierung hinsichtlich der Wirksamkeit der Maßnahmen unterliegen
• Gewährleistung, dass Vereinbarungen zur Verarbeitung personenbezogener Daten existieren und korrekt sind.

Die Zertifizierer, die sich unter anderem diese Punkte ansehen werden, haben dazu verschiedene Mittel im Einsatz, darunter Dokumentenprüfung, Befragung der Verantwortlichen, Vor-Ort-Begehungen, Validierungsaudits, aber zum Beispiel auch Technik- und Prozessaudits, wie Penetrations- und Stresstests sowie Auditierungen nach gängigen technischen Normen, wie zum Beispiel BSI Grundschutz oder ISO 27001, Prüfung des Betriebskontinuitätskonzepts, wie beispielsweise nach BSI 200-4, Simulation interner und externer Vorfälle, wie beabsichtigte Angriffe und unbeabsichtigte Ereignisse und/oder durch Lasttests, Überprüfung von Verfügbarkeitsklassen, Service Level Agreements (SLAs), um einige Beispiele zu nennen.

Dabei zeigt sich: Auch wenn die Anforderungen teils dokumentationslastig klingen, sind durchaus Tests geplant, wie man sie aus einer IT-Sicherheitszertifizierung kennt.

Wichtig ist auch der folgende Hinweis für den Fall, dass man schon eine anderweitige Datenschutzzertifizierung oder eine IT-Sicherheitszertifizierung als Unternehmen vorweisen kann:

Andere durch eine akkreditierte Zertifizierungsstelle erteilte Zertifizierungen als solche nach Art. 42 DSGVO (zum Beispiel ISO Zertifizierungen) können ebenfalls einen Faktor für die Konformität darstellen und als solche im Rahmen der Zertifizierung beachtet werden, so die Aufsichtsbehörden. Aber: Sie sind nicht ausreichend, um (Teil-)Evaluationen vollständig zu ersetzen. Die Zertifizierungsstelle ist auch hier weiterhin verpflichtet, die Einhaltung der Anforderungen anhand der Verifizierung des Prüfungsberichtes und zumindest stichprobenartig zu überprüfen sowie die bestehende Zertifizierungen auf Eignung zu bewerten.

Einfach gesagt, kann man also nicht davon ausgehen, dass die Prüfkriterien zum Beispiel zur Sicherheit der Verarbeitung von einem Zertifizierer einfach abgehakt werden, weil man ein ISO-Zertifikat vorlegen kann. Wer eine DSGVO-Zertifizierung erlangen will, muss auch alle DSGVO-Anforderungen vollständig nachweisen können, und die Datensicherheit nach DSGVO und die IT-Sicherheit sind bekanntlich nicht komplett deckungsgleich.